xwolf: Sichere Übertragung durch HTTPS und Session-ID

Beitrag lesen

SELF-Forum

Sichere Übertragung durch HTTPS und Session-ID

xwolf
Informationen zu den Bewertungsregeln

Hi,

ich habe eine sehr spezielle Frage, auf die ich in diesem Archiv trotz
Recherche keine Antwort finden konnte:

Klar, weil die Frage nicht allgemein beantwortbar ist.

Hab ich ein Problem, wenn ich Daten mit HTTP über SSL (mit 128 bit)
verschlüssele, aber eine Session-ID mit URL-Rewriting einsetze, welche ja
in der URL prinzipiell lesbar ist (Referer,zwischengeschaltete Server,etc.)?

Kommt darauf an, wie du die Session-IDs erstellst und verwaltest.
Siehe unten.

Etwas konkreter:

Reicht es aus, während der Gültigkeitsdauer der Session-ID, diese
mitzuschneiden und wieder einzuspielen, um in die Sitzung einzubrechen, und
sich als der ursprüngliche Nutzer auszugeben ? Oder greift hier auch noch
die SSL-Verschlüsselung zwischen Client und Server - diese Kommunikation
habe ich ja damit nicht gebrochen, oder ?

Die Uebertragung ist nach jeder einzelnen Seite, nach jedem Formsubmit beendet/abgebrochen.
Eben deswegen benutzt durch doch Session-IDs.
Damit du den User beim nächsten Aufruf gleich wiedererkennst.

Sprich, bewirke ich durch Erzeugen von neuen Datenpaketen und der so
"gewonnenen" Session-ID sinnvolle Daten oder aufgrund der
HTTPS-Verschlüsselung nur Datenmüll ?

Die HTTPS-Verschluesselung hat nichts mit deinen Session-IDs zu tun!

Die Verschluessung ist nur das was es heisst: Eine Verschluesselung.
Auf dem Web vom Client zum Server bekommt jemand, der die Verbindung abhoert nur Datenmüll zu sehen.
Egeal ob es Session-IDs sind oder reale Namen und Daten.

Die Session-Id benutzt du bei einer Transaktion in der regel für was anedres. Naemlich zum Beispiel bei einer Benutzerdatenbank könnte darin die ID des Benutzers in der DB sein.

Wie acuh immer: Die Frage, wie sicher all das ist, ist die Kernfrage?
Nun: Wenn jemand anhand der Session-IDs erkennen kann, wie die Session-IDs gebildet werden, DANN kannst du es auch alles offen lassen :)

Beispiel: Deine Session-IDs sind einfach fortlaufende Nummern der Ids der Benutzer aus der Datenbank.

Wenn nun ein neuer User A die ID 123 bekommt und im Quellcode dann sieht und er als nächstes ueber einen anderen Provider reingeht und sieht, als neuer Nutzer B die ID 124 bekommt, was wird er dann wohl schliessen?
"Heureka: Er weiss, dass es sehr wahrscheinlich ist, dass es 122 andere User gibt, die die IDs 1 - 122 nutzen :)

Und wenn man die Aktionen der User nur noch mit IDs macht, kann der also für die anderen User ne Menge Mist bauen.

Ciao,
  Wolfgang

Beitrag melden
Informationen zu den Bewertungsregeln